评论:Group-IB 威胁追踪框架

大型组织的 IT 基础架构非常异构。他们拥有运行各种操作系统并访问内部系统的端点、服务器和移动设备。在这些系统上,有大量不同的工具——从开源数据库和 Web 服务器到组织财务部门使用的商业工具。此外,这些应用程序现在还可以部署在不同的云上以实现进一步的弹性,从而使已经复杂的基础设施更加复杂。

管理 IT 基础设施是一个难题,尤其是在这些员工倾向于远程工作的大流行时期。在此基础设施上构建额外的安全层是一项复杂的任务,该项目的成功将取决于安全人员以及可以减轻他们负担的安全监控、检测和响应工具的可用性。不幸的是,由于保护基础设施的复杂性和大量的攻击媒介,组织安全监控的成熟度可能会落后。

解决此问题的方法之一是使用可提供组织基础架构可见性的技术,同时收集和检测异常事件并对其做出响应。

几年前,安全专家 Anton Chuvakin 以轻量级端点代理的形式提出了 EDR(端点检测和响应)的概念,填补了当时可用的检测和响应能力之间的空白。

EDR 已经发展到 XDR – 扩展检测和响应——代表了各种基础设施层(网络流量、电子邮件、端点、云实例、共享存储等)之间防御和响应能力的合并。

为了取得成功,XDR 应该检查不同的层,记录和存储事件,并根据其高级分析功能将层上的事件关联起来,以检测那些应该由更高层分析师检查的事件。目标是加快检测和响应周期,以减少攻击者潜伏在您的基础设施中的时间,同时减少 SOC 分析师的警报疲劳并防止倦怠。

我们已经测试了 Group-IB 威胁搜寻框架 (THF),它讲述了事件及其策划者的完整故事,并且可以在升级需要分析师额外关注的事件之前将不同基础设施层之间的事件和警报关联起来。其目的是进行被动安全监控,同时还可以发现攻击并减少攻击者在您的系统上花费的时间。它依赖于 Group-IB 的全球威胁情报功能,可以为分析师提供有关安全警报和事件的额外上下文。

方法

在本次审查中,我们使用了云传感器和 Huntbox(管理系统)实例。我们在虚拟化 (KVM) 端点上安装了 Huntpoint,一个单独的轻量级端点代理。端点的操作系统是带有最新补丁的 Windows 10,我们在其上手动安装了 Huntpoint。对于某些用例,我们禁用了 Windows Defender(Microsoft 的防病毒解决方案),以便我们可以在野外测试 Huntpoint 检测和阻止功能。

在端点上,我们执行了简单的测试操作,以查看这些事件以后是否在 THF 中可用。我们:

  • 访问和下载的恶意文件
  • 使用带有 VBS 脚本的 Windows 脚本宿主
  • 使用 PowerShell 混淆命令执行
  • 进行 Wmic 进程调用
  • 使用 Mimikatz 转储 NTLM 哈希
  • 用 Netcat 打开了一个绑定外壳

我们还对 Ryuk 勒索软件进行了全面感染,并尝试隔离主机。

为了测试电子邮件检测功能,我们使用了各种恶意文档(MS Word 文件、PDF)和额外嵌套或受密码保护的档案。我们将这些恶意文档作为电子邮件附件从 ProtonMail 帐户发送,以避免电子邮件被阻止发送到受监控的邮箱。

我们使用相同的文件集测试了恶意软件引爆平台 THF Polygon。我们通过将 Ryuk 和 Sigma 勒索软件上传到 Polygon 来手动测试它们。来自测试数据集的其他恶意文件是从 Huntpoint 自动发送的。收集的指标用于测试 Group-IB 威胁情报和归因系统。

在测试过程中,我们密切关注这些成功因素,帮助我们对产品形成最终意见:

  • 检测功能(端点事件、文件和电子邮件)
  • 易用性和集成能力
  • 威胁情报数据质量,同时为现有事件提供上下文
  • 资源消耗(用于 EDR 的 CPU/RAM 等)

威胁搜寻框架

IB组 的威胁追踪框架 (THF) 是一种解决方案,可帮助组织识别其安全盲点,并为其在 IT 和 OT 环境中的最关键服务提供整体保护。

该框架的目标是通过检测异常活动和事件并将它们与 Group-IB 的威胁情报和归因系统相关联来发现未知威胁和对手,该系统能够将网络安全事件归因于特定对手。换句话说,当您在网络流量中发现可疑的域/IP 形式时,只需单击几下,您就可以透视并发现此基础架构背后的内容,查看以前恶意活动的历史证据和可用的归因信息,以帮助您扩大或快速结束你的调查。 THF 密切关注事件响应过程,每个步骤都有一个专用组件。

THF 有两种风格:企业版,它是为大多数使用标准技术堆栈(电子邮件服务器、Windows 域、Windows/macOS 端点、代理服务器等)的企业组织量身定制的;工业版,它是能够分析工业级协议并保护工业控制系统 (ICS) 设备和监控和数据采集 (SCADA) 系统。

威胁狩猎框架能够:

  • 使用 Sensor 模块分析网络流量并检测可疑活动(隐蔽通道、隧道、远程控制、C&C 信标)
  • 终止第 2 层和第 3 层的加密连接
  • 与本地和云电子邮件系统集成
  • 使用名为 THF Huntpoint 的 EDR 组件/系统提供对端点的可见性并管理它们上的事件。 THF Huntpoint 可以检测流行的权限提升攻击和横向移动技术(pass-the-hash/ticket、Mimikatz、NTLM bruteforce、使用 live-of-the-land 二进制文件和类似工具)
  • 使用恶意软件引爆平台THF Polygon分析文件
  • 使用来自 THF Huntpoint 的日志、电子邮件通道、来自任何来源的每个分析文件的流量和行为标记执行高级威胁搜寻
  • 通过关联各种 THF 模块之间的所有可用数据来检测异常和未知威胁
  • 使用来自 Group-IB 的威胁情报和归因云数据库的数据/信息丰富事件

所有数据都从一个名为 THF Huntbox 的中央仪表板和管理系统中丰富和可用。 THF Huntbox 在威胁搜寻和 IR 活动期间支持事件管理、事件关联和分析师之间的协作。所有网络流量异常、电子邮件警报、Huntpoint 检测和在 Polygon 内引爆的文件都可用,用户可以使用图形分析和其他技术将事件数据 (IoC) 与威胁情报和归因数据库相关联。

THF 还可以与 CERT-GIB(Group-IB 的计算机应急响应小组)配对,通过发送遥测数据或 IoC 供专家进一步调查,这可以为复杂事件带来更高水平的专业知识,并提高您的 SOC 的成熟度。

审查威胁追踪框架

图 1 – 带有所有可用组件的威胁狩猎框架的架构

四氢呋喃组件

THF 传感器和 THF 解密器

THF Sensor 是一个系统,用于实时分析传入和传出的网络流量,从中提取文件,使用基于 ML 的智能流量分析方法(检测横向移动、DGA 活动和隐蔽隧道)和签名,阻止可疑文件(与代理,ICAP 集成)。从网络流量中收集的所有文件都可以发送到 THF Polygon,这是一个用于行为分析的文件引爆系统。

Sensor 作为 1U 物理设备提供,也可以根据您的用例和要求部署为虚拟机。要通过 SPAN 端口分析 250Mbps,您至少需要 32Gb RAM 和 12 个 vCPU。 Sensor 可以分析来自 SPAN/RSPAN 端口、TAP 设备或来自 RSPAN 的通过 GRE 隧道发送的流量的镜像流量,这意味着在部署时,它对企业网络吞吐量没有影响。 Sensor 支持广泛的带宽配置,标准版本支持 250、1000 和 5000 Mbps,但 Sensor 可以支持高达 10 Gbps 的高吞吐量架构。客户端能够使用多个 Sensor 并且基本上覆盖任何带宽,甚至在 ISP 级别。

在分析过程中,THF Sensor 可以检测网络异常,例如隐蔽信道、隧道、远程控制和各种横向移动技术。它还可以从邮件流量中提取电子邮件内容并对其进行分析——这项功能非常有趣,因为它允许它发现电子邮件中发送的存档文件的密码(并避免对其进行暴力破解)。

有一个为工业系统量身定制的特殊 THF 传感器版本——THF 传感器工业——它能够剖析 ICS 协议。 Sensor Industrial 支持多种 ICS 协议(Modbus、S7comm、S7comm+、UMAS、OPCUA、OPCDA、IEC104、DNP3、DeltaAV、CIP、MQTT 等),并且可以检测拓扑变化并控制 PLC 上使用的软件和固件的完整性。还可以根据通过配置选项可用的策略来设置检测规则。

THF Sensor 可以使用 THF Decryptor 组件分析加密会话,该组件检测受 TLS/SSL 保护的会话、执行证书替换并可以路由代理流量。 THF Decryptor 支持所有流行的 TLS 版本 (1.1 – 1.3) 和密码套件。它可以在各种模式下部署和工作:透明(桥接)模式在 OSI 第 2 层上工作,对用户网络不可见,或网关(路由器)模式,在其中充当用户网络的网关。

THF 猎盒

THF 猎盒 是 Group-IB 威胁狩猎框架的中央管理仪表板和报告点。它可以作为 Web 应用程序访问,包含 THF 组件(THF 传感器、THF 多边形和 THF 寻线点)的管理功能,并充当管理事件、警报和事故的关联引擎,以及所有收集的原始日志和其他信息的可扩展存储数据。通过 THF Huntbox 界面,用户可以查看事件详细信息、创建报告和升级事件,以及在本地和全球范围内生成报告和进行威胁搜寻。 THF Huntbox 充当 THF Polygon 动态分析报告的前端。

THF 猎盒

图 2 – THF Huntbox 欢迎屏幕是一个包含设备状态、统计数据和最新警报的仪表板

THF 猎盒 有以下几个部分:

  • 事件 – 需要分析师立即关注和解决的关键故障单。可以与组织内的其他分析师合作并评论进展情况。我们与 CERT-GIB 合作,他们的支持是可以增强用户检测和响应能力的高价值服务
  • 警报 – 由各种 THF 组件(例如,THF Polygon、THF Huntpoint)升级的潜在恶意事件,包含相关事件和检测信息
  • 图形 – Group-IB 的网络分析工具在 Group-IB 威胁情报和归因数据库上运行,该数据库包含所有网络节点的威胁数据和历史信息(包括 Whois 历史、SSL、DNS 记录等)情报,以及从各种地下沟通渠道、论坛和社交网络
  • 调查 – 所有可用的事件都位于此处。本节分为:
    • 电子邮件 – 包含所有分析的电子邮件和潜在有害内容的检测
    • 文件 – 包含从网络流量、代理服务器、端点、电子邮件、文件共享中提取的所有文件。也可以通过 API 手动或自动上传文件以进行动态分析。对于每个文件,都有一个可用的 Polygon 报告,可以判断文件是恶意还是良性
    • 电脑 – 包含注册到 THF 实例的所有端点的详细信息和可用操作(例如,与网络隔离)
    • 狩猎点事件 – 包含从 Huntpoint 客户端收集的所有事件
    • 网络连接 – 包含从传感器提取的网络连接
    • 报告 – 包含给定日期范围内所有活动的摘要报告以及与特定事件、警报或事件相关的报告

行动中的相关性

图 3 – 实际中的相关性:从同一地址发送的多封恶意电子邮件导致事件升级

我们大部分时间都在调查部分,搜索原始事件并梳理文件和电子邮件报告。事件及其元数据可以通过系统日志和其他监控系统与 SIEM 集成。 THF 关联和聚合其所有模块中的事件(例如,来自 THF 传感器的电子邮件和对恶意附件的 THF 多边形分析),并且可以根据您的配置、规则和策略自动或手动阻止它们(有关电子邮件,请参见图 3)。 THF Huntbox 工作流程易于习惯,有助于减轻分析师的认知负担,并使他们能够专注于可操作的警报。所有分类功能都位于一个中心位置,并且可以在 Graph 视图下搜索其他上下文。

THF 猎盒 还可以取代传统的票务系统来跟踪事件和警报。警报和事件部分对事件响应工作流很有帮助,许多事件可以自动关联,分析师可以将警报链接到事件,手动关联事件并在时间线上发表评论。

警报通常由威胁搜寻活动中发现的特定危害指标(域、IP、文件、电子邮件、Huntpoint 事件)触发。事件包含一个或多个警报和其他提供更多上下文的相关事件。

协作选项消除了为此特定目的使用另一个系统的需要。分析师可以评论和附加文件(尽管更广泛的视图对于冗长的评论会有所帮助)。

审查威胁追踪框架

图 4 – Alert 包含一个时间表,可以在其中协作和评论新发现

THF 寻点

THF 寻点 是安装在端点上的轻量级代理,用于收集和分析所有系统更改和用户行为(80 多种事件类型,包括创建的进程、进程间通信、注册表更改、文件系统更改、网络连接等),并提取来自端点的文件并将它们转发到 THF Polygon 进行额外分析。它用于实现组织端点的完全可见性,并提供发生在其上的事件的完整时间表。

THF 寻点 检测异常并阻止恶意文件,可用于远程收集分类所需的取证数据或在事件响应期间隔离受感染的机器。可以使用类似于其他 SIEM 查询语言(如 Splunk 和 Elasticsearch)的查询语言来搜索事件。事件详细信息示例如图 5 所示。

审查威胁追踪框架

图 5 – Huntpoint 事件详细信息

安装 THF Huntpoint 是一个简单的过程。我们手动安装它,但可以使用组策略或通过与 Active Directory 集成的专用 THF Huntpoint 安装程序进行安装。

我们使用各种格式的恶意文件(文档、可执行文件、ZIP、RAR、ISO 等档案)测试了我们的端点。我们的测试是在关闭 Windows Defender 的情况下进行的,以免干扰 THF Huntpoint 的检测功能。 Huntpoint 在第一次尝试时检测到所有恶意文件,文件被隔离并触发了 THF Huntbox 中可见的警报,如图 6 所示。

使用 Huntpoint 检测到的恶意文件

图 6 – 使用 Huntpoint 检测到的恶意文件

THF 寻点 可以深入了解端点上发生的情况。所有用户活动——创建或打开文件/进程/线程/注册表项、网络流量等——都在 Huntbox 的 Huntpoint Events 部分下可见。

审查威胁追踪框架

狩猎点活动

图 7 和 8 – 按域名和 IP 地址搜索 Huntpoint Events

为了执行简单的测试,我们创建了一个文本文件(在图 5 中的 THF Huntbox 中可见操作)并访问了 helpnetsecurity.com(在图 7 中的 THF Huntbox 中可见操作)。没有深入研究文档,我们成功地找到了查询事件所需的字段。尽管如此,需要时间和耐心来习惯字段名称并灵活处理 Huntpoint 事件查询更复杂的查询。

在 THF Huntbox 中,您可以保存搜索以供将来调查,甚至可以与您的同事分享这些搜索。当您想要一个基本查询的“说明书”来检测一些流行的误用案例(例如,可疑的 PowerShell 下载)时,这会派上用场。

我们执行的其他 THF Huntpoint 测试与恶意软件感染有关。我们用勒索软件感染了我们的端点,可执行文件已发送到 THF Polygon 进行引爆和最终裁决。感染被成功检测到(图 9)并且在警报下的 THF Huntbox 中可见。

多边形

图 9 – 检测到已发送到 Polygon 的勒索软件

在最后一次测试中,端点上的 THF Huntpoint 客户端仅消耗 20-40 Mb 的 RAM,CPU 使用率压力不明显。从性能的角度来看,您可以在对资源影响最小的情况下获得完整的可见性。由于勒索软件感染期间发生了大量事件,我们注意到在 Huntbox 中某些事件可用之前有一段时间的延迟,但一段时间后,所有事件都可以查询。

我们进行了简单的测试,看看攻击者可以执行的所有场景是否都记录在 THF Huntpoint 中并在 THF Huntbox 中可用。例如,在图 10 和图 11 中,您可以看到检测到 Netcat 使用和命令的简单编码 PowerShell 执行。

审查威胁追踪框架

活动

图 10 和 11 – 包含 Netcat 和 PowerShell 滥用的事件

我们还尝试使用 Mimikatz 转储端点上存在的 NTLM 哈希,并且此事件也被成功检测到并升级为事件(图 12)。

审查威胁追踪框架

图 12 – 在 Huntpoint 端点上检测到 Mimikatz 的使用,显示为警报

THF 寻点 目前仅适用于 Microsoft Windows,但在不久的将来也应该适用于其他平台,如 macOS 和 Linux。

四氢呋喃多边形

四氢呋喃多边形 是一个文件引爆平台。它集成在 THF 中,目的是在隔离环境中分析未知文件和电子邮件。文件来源可以是来自 THF 传感器的网络流量、用于网络流量分析的 ICAP 集成、本地/公共文件存储、THF Huntpoint 客户端或 API 集成。

IB组 开发并维护了一个开源库,以简化与 THF Polygon API 的集成,因此它可以用于任何现有应用程序或处理不受信任的文件 URL 来源(票务系统、支持聊天等)的工作流。该图书馆可在 GitHub 开始使用它真的很容易。

我们喜欢的另一个集成功能是 现有整合 使用 Palo Alto XSOAR 解决方案:这允许将 THF Polygon 嵌入到在 XSOAR 平台上运行的现有安全工作流程中。

审查威胁追踪框架

图 13 – 分析文件的恶意行为标记

分析后的文件在隔离环境中执行,在数 (2-5) 分钟后,您将获得有关记录的文件、网络、注册表、进程事件的完整行为分析报告(图 13)。您可以通过显示分析工件行为方式的视频预览执行更改。

行为标记可用作列表或填充的 MITRE ATT&CK 矩阵(图 14)。您还可以查看文件组成和流程树(图 15),这在检测涉及流程更改(例如,流程注入或流程挖空)的技术时非常有用。

恶意标记

图 14 – MITRE ATT&CK 矩阵中的恶意标记

使用 THF Polygon 收集的所有 IoC 都可以使用图网络分析来丰富以获得全局上下文。 THF Polygon 也可以通过 API 使用,该 API 可以在分析完成时触发分析并获取结果。

进程树

图 15 – THF 多边形报告中的进程树

正如我们在本评论的方法论部分所述,我们尝试将恶意附件发送到受监控的邮箱。在图 16-18 中,您可以看到使用 THF Polygon 扫描文件后,成功检测到包含恶意文档和相同存档文档的文件。邮件集成可用于内部邮件服务器,但还有一个新组件 (Atmosphere),可以扫描和检测基于云的邮箱(例如 Office 365 或 Google for Business)的攻击。邮件集成执行附件和链接分析,但也可以检测 BEC 和鱼叉式网络钓鱼(即通常不包含附件或链接的电子邮件)。

电子邮件处理

审查威胁追踪框架

电子邮件处理和检测在起作用

图 16、17、18 – 电子邮件处理和检测在起作用

图表视图(Group-IB 威胁情报和归因)

Global Threat Intelligence & Attribution 是一种威胁情报数据库和分析工具,是 Group-IB 十多年来致力于精心收集和扫描互联网的成果。该数据库包含:

  • 整个可用的 IPv4 和 IPv6 空间(每天扫描)
  • 2.11 亿个 SSH 指纹
  • 6.5 亿个域的历史数据可以追溯到 16 年以上(包括 DNS 注册更改、WHOIS 记录)
  • 16亿张证书
  • 恶意文件的哈希值
  • 从论坛和社交网络收集的数据

界面很简单,类似于另一个 Group-IB 产品—— 诈骗追捕平台.

这个 THF 组件是无价的,因为有时您会在调查某些事件时发现一个奇怪的域或散列,并且您需要更多关于它的上下文。您在“图表”视图中复制指标,几秒钟内您就会拥有一个完整的连接图表,可帮助您提升调查能力。

例如,我们使用了属于 Emotet 活动一部分的恶意域,结果如图 19 所示。您可以通过缩小实际图表下的时间线来优化搜索结果。或者,您可以通过定义步骤数来控制图形的深度,这些步骤细化了您可以从主要指标中看到的指标数量——这对于具有大量互连的指标很有帮助。

审查威胁追踪框架

图 19 – 图表显示了有关 Emotet 链接域的数据

THF 负责处理私人数据,并且符合各种数据安全和隐私法规,因此它使用掩码来隐藏私人信息(例如,可从社交网络获得的电话号码)。 Graph 无疑对分析师和执法都有帮助,因为它可用于构建恶意软件活动后端基础设施的完整图像。像国家 CERT、国际刑警组织和欧洲刑警组织这样的组织与 Group-IB 协作和合作以消除恶意软件基础设施和操作的情况并不少见。

文件

图 20 – 与域相关的文件

图网络分析能够将特定指标归因于特定威胁,并关联乍一看不相关的事件。在图 21 中,您可以看到我们的域搜索导致归因于 Emotet 活动。与手动分析相比,手动分析可能是一个单一指标产生额外指标的兔子洞,这些指标也必须进行分析,当您在日志中发现可疑域时,图形分析可以节省您的时间。

审查威胁追踪框架

图 21 – 域名 giatot365.com 归属于 Emotet,并发现与其相关的人员

结论和判决

威胁搜寻框架 是一款坚如磐石的产品,植根于 Group-IB 丰富的专业知识。它围绕社区应急响应团队中常见的经典事件处理工作流构建。它易于使用,可供各级 SOC 分析师和 CISO 使用,他们可以获得说明其基础架构安全级别的摘要报告和统计数据。

安装 THF Huntpoint 和 THF Sensor 模块后,您可以立即获得组织中用于威胁搜寻的所有工具。在大多数情况下,无需离开 THF Huntbox 即可完成快速分类。根据您的用例场景,THF 可以消除对成熟 SIEM 的需求并替换其功能,因为它是围绕相同的想法构建的。

THF 的学习曲线非常温和。在您习惯了查询语言和事件字段后,您可以很快在威胁搜寻工作中发挥创意。 THF 支持 Yara 和 Suricata 等久经考验的工具,使其与大多数威胁情报源兼容,并使您能够制定自定义检测规则。它经过精心设计,可减少警报数量,从而减少分析师的疲劳。这有时会以减少与红队技术相关的端点上的一些自动检测为代价。

THF 是分析人员和事件响应人员的宝贵工具。它不能取代人类专家,但它会发现异常并将它们关联到各个层,因此他们不必手动完成。通过与 CERT-GIB 或其他使用 THF 作为安全平台的管理安全服务提供商合作使用 THF,可以缓解缺乏熟练分析师的问题。 Group-IB 运行一个开放的 合作伙伴计划 为世界各地的 MSSP 提供最先进的安全服务。

我们可以推荐 威胁搜寻框架,因为它兑现了在各个层(网络、电子邮件系统、文件、端点、云)上工作并提供事件/事件的可操作分析的承诺。

事件管理功能是可访问的,对于大多数组织来说已经足够了。 IB组 威胁情报和归因 将增强每个组织的威胁情报和搜寻能力,实现快速分类或更深入的分析,将节省时间并减少对其他源的集成需求。




分享这个